קורונה? אומיקרון? הכופרות הן המגפה האמיתית של 2021
מה קרה לנו השנה בסייבר? המלחמה הקרה הועצמה, איראן ''השיגה'' את רוסיה בהיקף פעילותה וחל זינוק של 935% במספר הארגונים שנפגעו מכופרות עם סחיטה כפולה ● סיכום סייבר 2021, חלק א'
בסרט כל אנשי הנשיא מ-1976 אומר "גרון עמוק", מדליף פרשת ווטרגייט, לעיתונאי הוושינגטון פוסט בוב וודוורד וקרל ברנסטיין: Follow the money (עקבו אחר הכסף). נראה שההאקרים צפו בסרט בשקיקה, והתאהבו בכסף: מתקפות כופרה היו השנה האפיק הרווחי ביותר של פשעי סייבר. כך, מחקר העלה שהיקף הנזקים הכלכליים ממתקפות כופרה עמד השנה על 20 מיליארד דולר.
בשנה האחרונה חלה הסלמה במתקפות הכופרה. ולא סתם הסלמה: לפי דו"ח של Group-IB, ב-2021 ראינו זינוק של 935% במספר הארגונים שנפגעו מכופרות עם סחיטה כפולה, שחושפת את הנתונים הגנובים של הקורבנות באתר של דליפות נתונים. בחזית ההתאוששות, דו"ח של סופוס חשף שזו עולה יותר לארגונים שנפגעו ממגזר החינוך: עלויות ההשבתה, שחזור הנתונים והחזרה לפעילות מלאה עומדת בממוצע על 2.73 מיליון דולר לארגון – נתון הגבוה ב-48% מהממוצע העולמי בכל המגזרים.
UNIT 42, יחידת המחקר של פאלו אלטו, הבחינה במגמה של מעבר מדרישות כופר לכופרות, ומצאה שממוצע תשלומי הכופר עלה השנה ב-82%. "משמעות המונח Ransomware הפכה לבלתי מוחשית, כשהמונח כולל בתוכו כל כך הרבה טכניקות תקיפה שונות, ממגוון רחב של גורמי איומים", כתבו חוקרי ענקית האבטחה.
לפי ענקית אבטחה אחרת – צ'ק פוינט, אחד מכל 61 ארגונים הושפע השנה מכופרה מדי שבוע. שם אומרים ש-"הכופרות ימשיכו לצמוח, למרות מאמצי רשויות אכיפת החוק להגביל את הצמיחה הזו. שחקני האיום יתמקדו בחברות שיכולות להרשות לעצמן תשלום כופר, ומתקפות אלה יהפכו למשוכללות יותר. האקרים ישתמשו יותר ויותר בכלי חדירה כדי להתאים את המתקפות בזמן אמת ובאופן אישי. כלי חדירה הם המנוע מאחורי מתקפות הכופרה המתוחכמות ביותר שהתרחשו השנה".
שחקני איום מדינתיים
כדי לסבך עוד יותר את "נוף" איומי הסייבר העולמיים, הגדוש ממילא, גם מתקפות הסייבר בגיבוי מדינות התגברו השנה. בחלוף שנה לגילוי המתקפה על שרשרת האספקה של סולארווינדס, דו"ח של מנדיאנט העלה שתוקפים שמקושרים לרוסיה עדיין "עושים חיל" מבחינת היקף הארגונים שהם תוקפים. מיקרוסופט חשפה, בין השאר, את קבוצת נובליום וכתבה ש-"שחקני האיום ממשיכים לחדש ולזהות טכניקות וכישורים חדשים כדי לשמור על גישה מתמשכת בסביבות הקורבן, לעכב או למנוע את הזיהוי שלהם ולבלבל את מאמצי הייחוס".
אלא שרוסיה "איבדה את הבכורה" מבחינת היקף המתקפות המבוצעות על ידי האקרים שלוחי מדינה – לטובת איראן. מודיעין האיומים של מיקרוסופט (MSTIC) פרסם השנה דו"ח המתעד את ההתפתחות והתחכום של גורמי האיום האיראניים. לפי הענקית מרדמונד, הקבוצות שלוחות המשטר בטהרן משתמשות יותר ויותר בכופרות כדי לאסוף כספים או לשבש את פעילות הקורבנות; האיראנים מפגינים התנהגות "סבלנית" ומתמשכת יותר; והם מפעילים מתקפות Brute force אגרסיביות על המטרות. "קבוצות ההאקרים האיראניים הפכו לגורמי איומים מוכשרים יותר, המסוגלים לבצע קשת מלאה של פעולות תקיפה במגוון צורות", ציינו החוקרים. ב-2021 שלחה מיקרוסופט יותר מ-1,600 התראות על מתקפות שמקורן בקבוצות APT איראניות, לעומת 48 ב-2020 – קפיצה של 333%.
בנוסף, האיראנים הגדילו השנה את היקף המתקפות נגד חברות שירותי IT – בדפוס פעולה המדמה את המתקפה על סולארווינדס. וכך, הפעילות המוגברת השנה של קבוצות התקיפה האיראניות "זכתה" להתראת אבטחה משותפת של הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA), ה-FBI ומרכזי אבטחת הסייבר הלאומיים של אוסטרליה (ACSC) ובריטניה (NCSC).
זה לא הסוף
איראן עשתה עוד בסייבר: באחרונה הוגש בארצות הברית כתב אישום נגד זוג אזרחים איראניים בגין פעילות סייבר התקפית שנועדה להשפיע על הבוחר האמריקני בקמפיין לנשיאות ב-2020. השניים הואשמו בפריצה לאתרי הבוחרים ב-11 מדינות בארצות הברית, פריצה לחברת מדיה אמריקנית ויצירת קשר עם חברי המפלגה הרפובליקנית באמצעות סרטונים מזויפים שבהם תוארה, כביכול, הונאה שביצעו הדמוקרטים.
ומה איתנו? ובכן, במאי השנה הופעלה מתקפת כופרה נגד ארגונים שונים בישראל, ככל הנראה על ידי האקרים שאחראים גם לתקיפות קודמות, בקמפיין Pay2key. בדצמבר האחרון – אמנם עדיין ב-2020, אבל ממש קרוב לתחילת 2021 – האיראנים פרצו למחשבי התעשייה האווירית ולמערכות הבאנה לאבס מבית אינטל. המתקפה נחשפה על ידי צ'ק פוינט, שקבעה שמדובר בסוג חדש של כופרה – מהירה ושקטה במיוחד. על פי חוקרי קלירסקיי, את הכופרה מפעילה קבוצת התקיפה האיראנית FoxKitten (חתלתול שועל). לדבריהם, "תקיפות סחיטה וכופרה נערכו מול עשרות חברות בישראל. התוקפים חדרו, שיבשו והצפינו מערכות מחשב, גנבו מידע, הדליפו מידע וניסו לסחוט חברות. חלק מהחברות שילמו לקבוצה מאות אלפי דולרים".
אפרופו ישראל, סופוס קבעה שמחצית מהארגונים בארץ חוו מתקפות כופרה בשנה האחרונה. ועוד משפט פסימי: מחקר נוסף של החברה העלה שארגונים לא ממש מתאוששים לאחר שנפגעו ממתקפות כופרה.
הקורונה הקרינה גם על הסייבר
גם השנה היה ממשק בין הקורונה לסייבר: ההאקרים ניסו, כמיטב יכולתם, לשבש את השקת תוכנית החיסונים נגד הנגיף. נתונים הקשורים לחיסון של פייזר וביונטק, שנגנבו בדצמבר 2020, הודלפו לאינטרנט בינואר השנה: צילומי מסך של מיילים, מידע על סקירת עמיתים ומסמכים אחרים, כולל קובצי PDF ומצגות.
ב-2021 המשיכו והשתכללו הפייק ניוז על הקורונה ועל החיסונים (שהתחילו רק בקצה הקצה של 2020). כמו כן, השוק השחור של תעודות חיסון מזויפות התרחב ברחבי העולם, תעודות מזויפות שמאשרות חיסון נמכרו ביותר מ-100 דולר האחת, והיקף המוכרים והמפרסמים אותן גדל במהלך השנה.
ועוד: השנה, ב-46% מהארגונים היה לפחות עובד אחד שהוריד נוזקה לטלפון שלו. המעבר לעבודה מרחוק בשל הקורונה הביא לגידול דרמטי במתקפות על מכשירים ניידים: 97% מהארגונים בעולם התמודדו עם כמה וקטורי תקיפה על מכשירים אלה. כך, בעוד שפושעי סייבר ממשיכים למנף את ההשפעה של מגיפת הקורונה, הם גם מצאו הזדמנויות חדשות להתקפה עם דיפ פייק, מטבעות קריפטוגרפיים וארנקים ניידים.
מה אומרים המומחים?
"ההאקרים התאימו השנה את אסטרטגיית ההתקפה שלהם לארגונים העוסקים בחיסונים, בחירות והמעבר לעבודה היברידית – כדי לכוון לרשתות האספקה והרשתות של ארגונים, לטובת שיבוש מרבי", אמרה מאיה הורוביץ, סמנכ"לית מחקר בצ'ק פוינט. "התחכום והיקף מתקפות הסייבר ימשיכו לשבור שיאים, ואנחנו צופים עלייה עצומה במספר הכופרות והמתקפות על ניידים. ארגונים חייבים להיות פרו-אקטיביים, כי אם לא כן, הם מסתכנים בלהפוך לקורבן הבא של מתקפות ממוקדות מתוחכמות".
קנדיד וואסט, מנהל מחקרי הסייבר באקרוניס, ציין כי "פשיעת הסייבר היא מכונה משומנת, שמשתמשת בכלים מתקדמים, כמו תשתיות ענן ולימוד מכונה, במטרה להרחיב את התקיפות ולהפוך את הפעולות שלהן לאוטומטיות. בעוד שמפת האיומים ממשיכה להתרחב, השיטות לא משתנות משמעותית – והן עדיין עובדות".
לדברי ג'ון ווטרס, עד לא מכבר נשיא פייראיי, "לתוקפים בכופרות לא אכפת באמת את מי הם תוקפים. אם יש לכם אפשרות לשלם ויש לכם ביטוח סייבר – אתם מהווים מטרה ודמי הכופר יעמדו, בהתאם לגודל היעד, על סכום שנע בין 1,000 דולר לעשרות מיליונים".
למרות כל אלה, נדמה שרבים לא לומדים: נתונים של סופוס מראים ש-90% ממקבלי ההחלטות ב-IT בעולם הודו שיהיו מוכנים להתפשר בעולם הגנת הסייבר כדי לממש בארגון שלהם יעדי טרנספורמציה דיגיטליים.
זה היה חלק ראשון בסיכום הסייבר השנתי שלנו. התחום רחב ומתפתח עד כדי שנדרש יותר מחלק אחד כדי לסכם את מה שאירע בו ב-2021. המשך הסיכום – מחר (ד') ומחרתיים.
תגובות
(0)